A Whiffy Recon Malware feltárja a Windows-gépek Wi-Fi-helyét

A Whiffy Recon kártevő felfedezése aggasztó fejleményre hívta fel a figyelmet a kiberbiztonság világában. Ez a rosszindulatú program, amelyet a SmokeLoader-en keresztül szállítanak, egy betöltő rosszindulatú program, amelyet elsősorban arra használnak, hogy további rakományokat dobjanak a feltört Windows-gépekre, és jelentős veszélyt jelentenek.

A Whiffy Recon működési módja egyedülálló. Úgy működik, hogy 60 másodpercenként beolvassa a közeli Wi-Fi hozzáférési pontokat, és az általa összegyűjtött adatokat referenciapontként használja a Google földrajzi helymeghatározó API-jához. Az ebből az API-ból lekért helyadatokat ezután visszaküldik a rosszindulatú szereplőknek, lehetővé téve számukra a fertőzött rendszer helyének meghatározását.

A SmokeLoader, ahogy a neve is sugallja, elsősorban egy betöltő rosszindulatú program. Elsődleges funkciója, hogy megkönnyítse más rosszindulatú programoknak a gazdagépre való eljuttatását. 2014 óta megvásárolható oroszországi fenyegetésekkel foglalkozó szereplők számára, és gyakran adathalász e-maileken keresztül terjesztik.

A Whiffy Recon bonyolult műveletei

A Whiffy Recon úgy van programozva, hogy megkeresse a WLAN AutoConfig szolgáltatást (WLANSVC) a fertőzött rendszereken. Ha nem találja ezt a szolgáltatást, akkor megszünteti magát. Fontos megjegyezni, hogy a szkenner nem ellenőrzi, hogy a szolgáltatás működik-e vagy sem.

A tartósság biztosítása érdekében a Whiffy Recon parancsikont ad a Windows Indító mappájához. Ezenkívül egy távoli parancs- és vezérlőkiszolgálón (C2) regisztrál egy véletlenszerűen generált "botID" elküldésével egy HTTP POST kérésben. Válaszul a szerver sikerüzenetet és egyedi azonosítót küld, amelyet ezután a „%APPDATA%\Roaming\wlan\str-12.bin” nevű fájlban tárol.

A támadás második fázisa a Wi-Fi hozzáférési pontok folyamatos keresését foglalja magában a Windows WLAN API segítségével. Ezeket a vizsgálati eredményeket ezután továbbítják a Google Geolocation API-nak, lehetővé téve a fertőzött rendszer helyének háromszögelését. Ezt az információt ezt követően JSON-karakterlánc formájában továbbítják a C2-kiszolgálóhoz.

A Whiffy Recon működésének megértése alapvető fontosságú a fenyegetés leküzdéséhez. Ez a rész a rosszindulatú program funkcionalitását boncolgatja, az indító- és fennmaradási mechanizmusoktól a felderítési tevékenységekig, betekintést nyújtva a Windows-gépek közeli Wi-Fi hozzáférési pontokon keresztül történő lokalizálására és az adatok rosszindulatú szereplőknek való továbbítására szolgáló technikákba.